Géants britanniques touchés par les cyberattaques : comment les perturbations de Co-op, MandS et JLR exposent les vulnérabilités

En 2025, une série de cyberattaques à fort impact a frappé d’importantes entreprises britanniques, dont Co-operative Group (Co-op), Marks and Spencer (MandS) et Jaguar Land Rover (JLR), perturbant les opérations, exposant les données des clients et entraînant de lourdes pertes financières.

Ces violations révèlent des stratégies d’attaque émergentes, des failles dans les défenses des entreprises et la façon dont les cyber-risques peuvent désormais se répercuter sur les chaînes d’approvisionnement et les économies nationales.

Les incidents n’ont pas seulement affecté les bilans. Les clients de la coopérative se sont retrouvés avec des étagères vides, les acheteurs de MandS ont été exclus des services en ligne pendant des mois et les lignes d’usine de JLR ont été interrompues, menaçant des milliers d’emplois chez les fournisseurs.

Les enquêteurs ont par la suite lié ces cas à des groupes de pirates informatiques utilisant l’ingénierie sociale et les ransomwares, exposant ainsi des faiblesses systémiques dans les systèmes de support informatique et les pratiques d’externalisation.

Avec des pertes mesurées à des centaines de millions de livres, ces cyberattaques sont devenues un rappel brutal que les vulnérabilités numériques peuvent rapidement se répercuter sur l’économie réelle, aggravant les pressions en période d’incertitude mondiale.

Ce qui n’a pas fonctionné : les incidents et leurs impacts

• Coop (avril 2025)

En avril, Co-op a révélé qu’une cyberattaque « malveillante » l’avait forcée à fermer certaines parties de son réseau informatique pour contenir la violation.

Cette décision a paralysé les systèmes de commande et de stock, provoquant des perturbations généralisées dans ses plus de 2 000 magasins d’alimentation et 800 salons funéraires au Royaume-Uni.

La société estime une perte de revenus de 206 millions de livres sterling au cours du premier semestre de l’année et une baisse du bénéfice d’exploitation de 80 millions de livres sterling. Il est passé d’un bénéfice modeste à une perte avant impôts de 50 millions de livres sterling au cours de la même période.

En outre, Co-op a confirmé par la suite que les données personnelles des 6,5 millions de membres avaient été volées (noms, adresses, coordonnées). Les données financières, ont-ils dit, n’ont pas été consultées.

• Marks and Spencer (avril-août 2025)

Vers Pâques 2025, MandS a été contraint de désactiver ses services de commande en ligne, d’application mobile et de click-and-collect après une importante attaque de ransomware.

La perturbation a duré plusieurs semaines : certains services en ligne ont été rétablis en juin, mais le click-and-collect n’est revenu qu’à la mi-août.

MandS a averti que l’attaque pourrait réduire son bénéfice d’exploitation d’environ 300 millions de livres sterling pour l’année. Il a reconnu que les données des utilisateurs (noms, adresses, e-mails) avaient été consultées, mais a déclaré que les détails de paiement n’avaient pas été compromis.

La police britannique a arrêté quatre personnes (adolescentes et jeunes d’une vingtaine d’années) en lien avec les attaques contre MandS, Co-op et Harrods. Ils sont soupçonnés en vertu des lois couvrant l’utilisation abusive d’ordinateurs, le chantage et le blanchiment d’argent.

• Jaguar Land Rover (fin août / septembre 2025)

JLR a annoncé qu’un cyberincident avait perturbé ses opérations mondiales, arrêtant rapidement la production dans ses usines au Royaume-Uni et désactivant les systèmes de gestion des pièces, d’immatriculation des véhicules, de vente et de logistique.

L’arrêt de la production devrait durer au moins jusqu’au 1er octobre, et JLR perdrait 50 millions de livres sterling par semaine en revenus suspendus.

Étant donné que de nombreux fournisseurs dépendent des livraisons juste-à-temps, des dizaines d’entreprises de fournisseurs font face à des commandes annulées, des pauses de travail, des mises à pied et des tensions sur les flux de trésorerie. Selon certaines estimations , des milliers d’emplois dans la chaîne d’approvisionnement automobile pourraient être menacés.

Causes : tactiques, groupes et faiblesses du système

Les enquêtes et l’analyse de l’industrie suggèrent un modus operandi commun derrière ces attaques. Un collectif de pirates, souvent appelé Scatter Spider, est impliqué dans les violations de Co-op et de MandS.

Le groupe est connu pour se spécialiser dans l’ingénierie sociale, se faisant souvent passer pour le personnel informatique ou utilisant des exploits du service d’assistance pour obtenir un accès interne.

Dans le cas de MandS, les attaquants auraient utilisé l’échange de cartes SIM et l’usurpation d’identité du service d’assistance, ciblant des fournisseurs de services tiers pour pénétrer dans des systèmes critiques.

Suite à l’attaque de JLR, une chaîne Telegram se faisant appeler Scatter Lapsus$ Hunters a revendiqué la responsabilité.

Le nom suggère une collaboration ou un chevauchement entre les groupes Scatter Spider, Lapsus$ et ShinyHunters. Des captures d’écran publiées sur cette chaîne étaient censées montrer les systèmes internes de JLR.

Un analyste a déclaré à Computing que l’externalisation de la cybersécurité à des services tels que Tata Consultancy Services (TCS), qui a été contracté par Co-op, MandS et JLR, aurait pu créer un point de risque d’agrégation.

Comment les entreprises ont réagi

Co-op a réagi rapidement en fermant des segments de son réseau informatique, en rétablissant progressivement les systèmes et en travaillant avec les fournisseurs pour redémarrer les livraisons. Sa PDG s’est excusée publiquement, disant qu’elle était « incroyablement désolée » pour l’incident et son impact sur les membres.

Co-op a déclaré qu’elle ne couvrait pas entièrement la cyberassurance pour les pertes en arrière-plan, ce qui signifie qu’elle absorbera elle-même une grande partie des coûts.

MandS a mis ses systèmes hors ligne tôt pour limiter les dommages, puis a réintroduit ses services par étapes, d’abord la livraison à domicile, puis le click-and-collect. Il a fait appel aux forces de l’ordre, a coopéré avec les régulateurs et a invoqué sa police d’assurance cyber pour récupérer une partie de la perte.

JLR a immédiatement fermé ses usines et ses systèmes informatiques, fait appel à des experts en cybersécurité et a travaillé avec le gouvernement britannique et le National Cyber Security Centre (NCSC) pour permettre un « redémarrage contrôlé et progressif ».

JLR a également commencé à rétablir les paiements des fournisseurs, les systèmes logistiques de pièces et la capacité d’immatriculation des voitures afin de préserver les flux de trésorerie.

Les ministres sont en pourparlers sur des programmes de soutien pour aider les fournisseurs touchés, y compris des impôts différés ou des prêts, bien qu’ils soulignent que JLR doit absorber les pertes primaires.

Points de vue d’experts et importance systémique

Les experts en cybersécurité avertissent que les récentes attaques ne sont pas isolées mais symptomatiques d’un changement d’ambition des attaquants. Rafe Pilling, directeur de la Threat Intelligence chez Sophos, a déclaré :

Martyn Thomas, professeur émérite d’informatique, a fait une mise en garde qui donne à réfléchir :

Dans le contexte de JLR, les analystes du Guardian ont conclu que le piratage a révélé à quel point « tout est connecté » dans les usines intelligentes modernes – et que la complexité elle-même peut devenir une vulnérabilité.

Le fait que JLR ait externalisé des systèmes informatiques critiques et que les services de TCS aient été intégrés dans plusieurs entreprises aujourd’hui attaquées soulève des questions quant à savoir si les points centraux de dépendance sont négligés.

L’importance plus large de ces événements est claire : les cyberattaques ne se limitent plus au vol de données ou à la perturbation des services numériques : elles peuvent bloquer la production physique, menacer l’emploi, mettre à rude épreuve les chaînes d’approvisionnement et se répercuter sur les économies régionales.

En cette période d’incertitude mondiale, avec l’inflation, la pression sur la chaîne d’approvisionnement et les tensions géopolitiques, de telles brèches amplifient la fragilité des systèmes interdépendants.

Pour les entreprises britanniques, ces attaques mettent en évidence les leçons urgentes à tirer : investir dans la détection et la réponse aux menaces, réduire la dépendance excessive à l’égard d’un seul fournisseur de services, créer une redondance et s’assurer que la cyberassurance n’est pas une simple façade.

À mesure que de plus en plus de secteurs se numérisent et se connectent, la « surface d’attaque » ne fait que croître. Si les entreprises de premier plan sont maintenant à risque, les petites entreprises des chaînes d’approvisionnement pourraient devenir encore plus vulnérables.

En bref, les incidents de Co-op, MandS et JLR marquent un tournant : la cybercriminalité est passée du piratage intempestif à une perturbation systémique. La prochaine grande brèche ne s’annoncera peut-être pas en douceur, mais ceux qui s’y prépareront pourraient encore en atténuer les pires conséquences.